Ojo con el gusano Conficker

[Yenki]

Desde el punto de vista informático:

Un gusano (también llamados IWorm por su apocope en inglés, I = Internet, Worm = Gusano) es un Malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.

A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.

Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.

Tomado de la wikipedia.





El gusano informático que me lleva a armar este tema se llama Conficker, Downadup o Kido, surgió en octubre pasado y aprovecha una vulnerabilidad de Windows.

Según Microsoft, el gusano informático funciona buscando un fichero ejecutable de Windows llamado "services.exe" y pasa a formar parte de ese código.

Entonces se copia a sí mismo en el sistema de ficheros de Windows como un fichero más del tipo conocido como "dll". Se da a sí mismo un nombre de entre 5 y 8 caracteres, y modifica el registro, que enumera configuraciones clave de Windows para poner en funcionamiento el fichero infectado dll como un servicio.

Una vez está en marcha, el gusano crea un servidor HTTP, cambia el punto de restauración del sistema del computador (haciendo más difícil recuperar el sistema infectado) y entonces descarga ficheros del sitio de internet del pirata informático.

...
Los expertos recomiendan instalar el "parche" de seguridad de Microsoft MS08-067.

Según la firma de antivirus F-Secure, el gusano utiliza un complicado algoritmo para generar cientos de nombres de dominios diferentes cada día, tales como mphtfrxs.net, imctaef.cc y hcweu.org.

Tan sólo uno de estos será de hecho el sitio utilizado para bajar los ficheros del pirata.

Ante ello, será imposible rastrear ese sitio.

Tomado de la nota Amenaza mundial de virus informático en la BBC.

Según la empresa de antivirus F-secure, en sólo 4 días el gusano en cuestión pasó de infectar 2,4 millones de máquinas a 8,9 millones.

Fuente: cnn.com, f-secure.com.




Para evitarlo hay que bajar un parche de microsoft, es la actualización de seguridad MS08-067 que es crítica.

Este agujero de seguridad afecta a muchas versiones de XP, incluso las que tienen el Service Pack 3 y también a Vista con Service Pack 1. En el enlace anterior está el listado completo.

Involucra una pequeña descarga de menos de 1 MB.

[math]

ya enfrente virus parecidos, no le tengo miedo, funciona de manera muy similar al virtumonde, y lo venci!!!

[Yenki]

El gusano Conficker sigue infectando

Ahora es la gente del antivirus Panda la que alerta sobre este malware.

En casi dos millones de computadoras que consideraron, el 5,77 % estaba infectada por este gusano.

Uno de los directivos de la empresa dijo:

“Que de cada dos millones de ordenadores que analices, cerca de 115.000 estén infectados con un mismo ejemplar de malware es algo que no se veía desde los tiempos de los grandes ataques como los de Kournikova o Blaster” ... “lo peor es que este gusano aún puede hacer mucho daño, ya que en cualquier momento puede comenzar a descargar más malware en los equipos o propagarse por otros medios”.

Parece que roba contraseñas si estas no son seguras, (largas y complejas).

La nota de prensa de la empresa termina diciendo :

Además, este gusano cuenta con un sistema de ingeniería social muy novedoso para propagarse a través de dispositivos USB: en el menú que aparece en los sistemas operativos Windows cuando introduces un dispositivo USB y que ofrece diferentes opciones (abrir carpeta para ver archivos, reproducir canciones, ejecutar los programas contenidos en el dispositivo, etc.) ha disfrazado la opción de ejecución de programa (que activa el malware) como si fuese la opción de “abrir carpeta para ver archivos”, de tal modo que un usuario que quiera ver el contenido de la llave de memoria, en realidad, estará poniendo en marcha el gusano e infectándose.

Fuente: pergaminovirtual.com.ar.





Yo que vos Math me fijo si las compus de tu red están actualizadas con este parche de M$.

[math]

Yo que vos Math me fijo si las compus de tu red están actualizadas con este parche de M$.

gracias por el tip yen, vere de hacerlo pero de usar su maquina para laburar no deberian de tener inconvenientes, igual si alguna se contagia no me voy a morir la verdad, se hacen backups regulares y la informacion no esta en ninguna maquina en particular, asi que sale format ante cualquier contrariedad asi de jodida...

[Yenki]

Desde empresas como Microsoft y Symantec ( hay otras más como AOL y Verisign), anunciaron que armaron un equipo para luchar contra el gusano Conficker.

Quieren tomar las direcciones de internet que el malware puede tratar de usar, es que el bicho informático mira en 250 nombres cada día para recibir órdenes. Si los que lo controlan sólo tienen uno registrado les basta para darle instrucciones.
Eso permitiría acotar el que reciba órdenes sólo a través de un mecanismo de programas de pares, (P2P en la jerga).

Pero además ofrecen 250 mil dólares de recompensa por datos que lleven a permitir el arresto de autores.

El anuncio oficial de Symantec, por acá donde hay más datos sobre este sofisticado desarrollo malicioso.


Fuente: pcworld.com.




¡Nunca había visto algo así repecto a código maligno, una recompensa al estilo del Lejano Oeste!
Se ve que les preocupa tener millones de máquinas infectadas esperando que las "despierten".

[Yenki]

Conficker se actualizó

"Hasta ahora, este virus generaba 250 dominios por día al azar y sus autores sólo registraban algunos de ellos -explica Hernán Coronel, Systems Engineer de la empresa antivirus Symantec-. Por medio de esas direcciones de Internet, el virus recibe actualizaciones y comandos. Así es como se monta una red pirata, una red robot o botnet . Bueno, la estrategia de la coalición fue quebrar el código del gusano y registrar de antemano los 250 posibles dominios. Ahora, la nueva versión del virus en lugar de generar 250 dominios por día produce 50.000."

Con esto loa autores invalidaron la estrategia de defensa del consorcio de empresas informáticas.
Lo positivo es que la difusión hace caer el número de máquinas infectadas, que se estima ya no son millones sino cientos de miles.

Fuente: lanacion.com.ar de donde tomé la cita.

[Yenki]

Mañana se activa Conficker

El primero de abril es el día de los inocentes en algunos países. Y según expertos en informática entonces al gusano más famoso va a tratar de comunicarse con alguno de 50 mil dominios web para recibir intrucciones.

Otra de las características de este gusano es que no causa un daño inmediato, sino que modifica y reduce la seguridad de Windows, borra los puntos de restauración del sistema, deshabilitaciertos sistemas, termina con 23 servicios relacionados con la seguridad y bloquea el acceso a 71 páginas web de desarrolladores de software de seguridad, para después empezar a actuar, preparándose para descargar de forma arbitraria archivos desde una serie de webs.

Tomado de el artículo Se espera una tercera variante de Conficker para el 1 de abril en vnunet.net

En el sitio web de M$ reconocen que hay 4 variantes.


En los blogs del diario New York Times se preguntan El Gusano Conficker: ¿Broma de Día de los Inocentes o Desastre Inimaginable?.

El tema es que no saben para qué van a emplear las máquinas infectadas.

[Yenki]

Test sencillo, pero indirecto para ver si una máquina con conexión a internet esta infectada con Conficker
Una forma fácil de ver si el gusano está activo en un equipo es ir por está página.

Hay que ver si cargan las 6 imágenes que les pongo acá abajo:



El gusano bloquea el acceso a sitios de antivirus y seguridad informática, o sea que si uno no ve los dibujos es posible que esté activo, (ojo, hay que tener activada la visualización de imágenes en el navegador).
Es una verificación indirecta de la existencia del malware en el equipo.
Si se emplea un servidor proxy podrán verse igual las imágenes aún con el equipo infectado, pero me parece que esto es poco común en el navegante promedio hogareño.

Fuente: hardocp.com.




Conficker C según IBM y una empresa coreana
IBM tiene un grupo llamado X-Force que trabaja en seguridad informática.
Estos estimaron que el 4 % de las direcciones IP con actividades sospechosas en internet están infectadas con la variante Conficker C.
Con limitaciones, su análisis se basó en analizar la capacidad de comunicación entre pares, (p2p en la jerga), del gusano Conficker,
miraban el tráfico en internet en algunos sitios.

Ojo, esto no implica que el 4 % de las PCs lo tenga.

Es bastante impresionante ver el video con la distribución mundial que hace la gente de IBM, puede apreciarse en su blog o en youtube.com.




Por otra parte los vendedores coreanos de un antivirus, Bach Khoa Internetwork Security (BKIS), estimaron que hay 1.384.100 máquinas infectadas con la variante C del malware.
Y la distribución geográfica sería algo así:
China 13,7%
Brasil 10,4 %
Rusia 9,3%
EEUU 2,6 % (35 mil computadoras)

Fuente: computerworld.com


El sitio del Conficker Working Group se ve desde este enlace.